Sistema de control de jornadas y horario mediante identificación por radiofrecuencia

ANTECEDENTES

El expediente referenciado fue promovido por un funcionario con destino en el Instituto de Estadística y Cartografía de Andalucía (IECA), por su denuncia por tratamiento discriminatorio en relación al establecimiento del sistema de control de jornadas y horario mediante identificación por radiofrecuencia (RFID), implantado por el organismo.

I.- Del relato de los hechos por el interesado conviene señalar  que con fecha 26 de Octubre de 2011 presenta escrito ante el Sr. Consejero de Economía, Innovación y Ciencia, hoy también de Empleo,  como responsable inmediato del Instituto de Estadística y Cartografía de Andalucía –IECA- para denunciar una situación de discriminación mantenida en el tiempo por vulneración de un derecho fundamental indicado en los arts. 1.1. 9.2 y 14 de nuestra Constitución respecto al derecho de igualdad, por considerar que su derecho a la intimidad y privacidad personal resultaba afectado con la implantación de nuevas tecnologías (RFID) para el control horario por parte del IECA, derecho igualmente recogido en el art. 18 de nuestra Constitución.

II.- A principios de 2009, el IECA lleva a cabo la sustitución del sistema del control horario de sus empleados públicos –sin afectar al personal externo-,  estableciendo una nueva tecnología que cambió las condiciones (del personal) existentes hasta entonces. El establecimiento de esta nueva tecnología, basada en la identificación por radiofrecuencia –RFID- se notifico al personal por correo electrónico del Negociado de Personal indicando la “necesidad” de registrar una tarjeta, en el nuevo sistema, sin que se cursara comunicación previa alguna a los representantes legales del personal.

III.- Del sistema impuesto, denominado “Crono”, sólo se han dado instrucciones de uso y variaciones sin informar respecto a la tecnología en que se apoya. Esta tecnología, a criterio del interesado, resulta de dudosa legalidad ya que se utiliza para identificar y conocer la trazabilidad de objetos y mercancías, ganado, artículos, etc., lo que implica la cosificación de los empleados. A este respecto, añade que la Unión Europea estudia reglamentarla para evitar su uso indiscriminado  sobre las personas, por invasión de privacidad de la misma.

IV.- Ante la implantación de este sistema, el interesado (que no ha recogido su tarjeta ni se le ha obligado a ello) ha planteado al Instituto diversas cuestiones sobre el sistema establecido (uso de la tarjeta), como por ejemplo, el uso de una tarjeta cuya tecnología fuese el “contacto” (Banda magnética o chip de contacto),  la habilitación de un tarjetero junto al equipo central para albergar las tarjetas y utilizarlas sólo en el momento de la picada, evitando su salida del centro,  información verbal o por escrito sobre la obligación de utilizar  la tarjeta  y la posibilidad de operar con cualquiera de las otras opciones que el sistema dispone.

Asimismo, el interesado ha mantenido reuniones con responsables del  IECA; en una de ellas, la Subdirección de Producción Estadística se comprometió en comprobar la obligatoriedad o no del uso de tarjeta RFID e informar del resultado, sin que hasta el momento se haya dado respuesta alguna. En reunión  con la Secretaria General, por parte de ésta, se dio por zanjado el asunto al decidir que se haría una concesión exclusiva para el interesado con la instalación de un ordenador -sólo para su uso- ubicado en la planta 2ª, en el despacho de la Sección de Personal. Situación ésta que, el interesado, entiende discriminatoria respecto al resto de trabajadores.

V.- En la tramitación del expediente de queja, nos dirigimos al titular de la Consejería de Economía, Innovación, Ciencia y Empleo, como máxima autoridad del organismo afectado –IECA- de cuyo informe merece la siguiente transcripción literal:

“(...) En cuanto a la utilización del sistema RFID y la obligatoriedad sobre  su imposición, nos remitimos a lo dispuesto en la Ley Orgánica 15/1999, de 13  de Diciembre, de Protección de Datos de Carácter Personal, estando correctamente dado de alta el fichero que sustenta el sistema de control de horario en la Agencia Española de Protección de Datos. Igualmente el Instituto ha velado por el correcto cumplimiento de las normas, entre ellas la normativa sobre jornadas y horarios a través de los medios adecuados de control, y por la seguridad de las personas y las instalaciones, para lo cual fue igualmente dado de alta en la Agencia Española de Protección de Datos el fichero de video vigilancia, previa reunión con la Consejería de Gobernación.”

(...) La Dirección General de Tecnologías para Hacienda y la Administración Electrónica –en informe que se adjunta- concluye que el sistema de tarjeta utilizado en este Instituto en ningún caso implica riesgo ni para la salud ni para la seguridad del personal que lo utiliza, ni pretende atentar contra sus derechos fundamentales en lo que a la protección de sus datos personales se refiere”.

Por último merece igualmente la reseña que se contiene en el informe:

“(...) Teniendo constancia de la negativa manifestada por el interesado en el escrito de queja de referencia, se analizaron las alternativas planteadas por el mismo,  pero fueron descartadas por la Dirección del Instituto debido a que, en general, resultaban poco eficientes en comparación con el sistema implantado e implicaban un coste añadido. Si se accedió, por el contrario, a la posibilidad de habilitar un terminal con teclado en el despacho del Jefe de Sección de Personal, con la mejor intención de intentar dar una solución a las reticencias puestas de manifiesto por el interesado al uso de la mencionada tecnología, a la vez que se puso a su disposición del resto del personal para cubrir posibles eventualidades en el funcionamiento normal de los terminales de entrada en el edificio”.

CONSIDERACIONES

Primera.- Características y funcionalidades de la tecnología RIFD.

La tecnología de Identificación por Radio Frecuencia o RIFD es un sistema de autoidentificación inalámbrico, consistente en etiquetas que almacenan infomación y lectores que pueden leer dichas etiquetas a distancia.

En el momento actual, bajo las siglas RIFD se agrupan tecnologías que permiten la identificación y recogida automática de datos mediante la utilización de radiofrecuencias. La característica más destacada de esta tecnología es la posibilidad de asociar un identificador único y otra información (utilizando una etiqueta electrónica) a cualquier objeto, animal o persona y leer esta información a través de un dispositivo inalámbrico.

La tarjeta que se utiliza  en el  el IECA dispone de un código único de carácter universal que se vincula o indexa biunívocamente con los datos del usuario-empleado ubicados en el terminal; cada acto de relación de la tarjeta con el terminal se guarda en una memoria temporal que se vuelca a intervalos a la Base de Datos última y general en la que se guardan sus datos personales. En paralelo el usuario entrega en papel los justificantes de las incidencias que lo requieren.

Por lo que reconociendo el código de la tarjeta se puede llegar a los datos del usuario, cualquier lector-emisor RFID registra y guarda en fichero LOG todo lo que sucede, si no lo entendiese quedaría el registro almacenado como erróneo.

Si un interés judicial exigiera los registros, o un hacker los tomase con otras intenciones, se obtendrían dichos registros y a través de los códigos se podría llegar al usuario, estando dicha tecnología sometida a determinados riesgos de revelación de datos de carácter personal.

Segunda.-  La utilización del sistema RFID sobre personas.

La cuestión concerniente a la privacidad de la tecnología RFID despierta gran interés en el seno de la Unión Europea, lo que se refleja en el trabajo de seguimiento realizado por el “Grupo de Trabajo del Artículo 29”, en el cual España está representada a través de la Agencia Española de Protección de Datos. En sus informes se puede apreciar un creciente número de trabajos relacionados con la protección de datos en soporte RFID.

La Unión Europea ha dedicado grandes esfuerzos para reglamentar la tecnología RFID para evitar un uso indiscriminado sobre personas, desarrollando un a normativa que indica la necesidad de garantizar el derecho a la intimidad y privacidad y, así, cabe destacar:

a) Dictamen del Comité Económico y Social Europeo sobre el tema «Identificación por radiofrecuencia (RIFD).

El Dictamen fue elaborado y aprobado por el Comité Económico y Social Europeo, a petición de la Comisión Europea, y publicado en el Diario Oficial de la Unión Europea con fecha 27/10/2007 (2007/C 256/13).

De entre sus “Conclusiones y recomendaciones” del Dictamen, conviene reseñar:

“1.1.La identificación por radiofrecuencia (RFID) es una tecnología que irá adquiriendo gran importancia con el tiempo. Sus aplicaciones actuales y futuras revelan un potencial de mejora de toda una serie de procesos empresariales tanto en el sector público como privado, y ofrecen la posibilidad de aportar beneficios significativos tanto a los particulares como a las empresas.

La RFID tiene también el potencial de fomentar un desarrollo masivo de aplicaciones Internet, haciendo posible lo que una agencia de las Naciones Unidas ha denominado el «Internet de los objetos». No obstante, la RFID está cuidadosamente controlada, ya que puede conllevar una violación del respeto a la vida privada y las libertades civiles, así como constituir una amenaza para la seguridad de los particulares y las empresas.”

No obstante, en el propio Dictamen, en su apartado 3.5. Seguridad,  privacidad y ética, señala:

“(...) Existe una gran preocupación por el riesgo de que esta tecnología omnipresente y que ofrece muchas posibilidades ponga en peligro la privacidad: la tecnología RFID puede utilizarse para recabar información vinculada directa o indirectamente a un persona identificada  o identificable y que, por lo tanto, debe ser tratada como datos personales. Las etiquetas RFID puede almacenar datos personales; la tecnología RFID podría utilizarse para  seguir o rastrear los movimientos de las personas o para trazar un perfil de su comportamiento. La RFID puede convertirse en una tecnología molesta. Varias voces han manifestado su preocupación sobre posibles violaciones de los valores fundamentales y de la privacidad, así como por la posibilidad de que una mayor vigilancia, especialmente en el lugar de trabajo, derive en discriminación, exclusión, victimización y posible pérdida de empleo.”

En conclusión (del Dictamen), en los casos en que las aplicaciones de la RFID estén permitidas, su puesta en práctica debería ser plenamente transparente para todas las partes implicadas. Por regla general, las aplicaciones destinadas a mejorar el tratamiento de las mercancías resultan aceptables. Generalmente, las aplicaciones destinadas al rastreo de personas no son aceptables, excepto en zonas de tránsito. Las aplicaciones que vinculan a las personas con mercancías pueden ser aceptables, con fines comerciales.

Aquellas que sirven para identificar a las personas a través de las mercancías que han adquirido resultan, por lo general, inaceptables. Además, algunas aplicaciones resultan impropias de una sociedad libre y no deberían admitirse de ninguna manera. La necesidad absoluta de preservar la privacidad y el anonimato deben constituir el núcleo de la Recomendación de la Comisión a los Estados miembros.

b) Recomendación de la Comisión de las Comunidades Europeas sobre la aplicación de los principios relativos a la protección de datos y la intimidad en las aplicaciones basadas en la identificación por radiofrecuencia.

La Comisión Europea, en la Recomendación de 12 de mayo de 2009, sobre la aplicación de los principios relativos a la protección de datos y la intimidad en las aplicaciones basadas en la identificación por radiofrecuencia, publicada en el DOCE de16/05/2009, facilita a los Estados miembros orientaciones sobre cómo diseñar y hacer funcionar las aplicaciones RFID de un modo legal, ético, social y políticamente aceptable, respetando el derecho a la intimidad y garantizando la protección de los datos personales; igualmente facilita orientaciones sobre las medidas que deben adoptarse al desplegar las aplicaciones RFID a fin de garantizar que al hacerlo se respete, cuando proceda, la legislación nacional por la que se apliquen las Directivas 95/46/CE, 1999/5/CE y 2002/58/CE.

En este documento se establecen recomendaciones y buenas prácticas a la hora de implementar comunicaciones RFID en el marco de la UE.

Tercera.- La Agencia Española de Protección de Datos (AEPD) y la tecnología RIFD.

La Agencia Española de Protección de Datos (AEPD junto al Instituto Nacional de Tecnologías de la Comunicación (INTECO) publican la Guía sobre seguridad y privacidad de la tecnología RIFD en la que se determina explícitamente que supone un riesgo para la privacidad (art. 7) y exige (art. 8) un cumplimiento normativo para este tipo de tarjetas que deben quedar sujetas, tanto a su regulación específica como a la Ley Orgánica  15/1999 de 13 de Diciembre de Protección de Datos de Carácter Personal (LOPD).

De los distintos documentos emanados de las autoridades europeas se deriva una conclusión clara: en aquellos casos en los que la etiqueta contenga información personal, o pueda relacionarse con recursos que la vinculen con información de esta naturaleza, serán de aplicación las normas sobre protección de datos personales.

Por tanto, aunque exista una regulación específica, la Ley Orgánica 15/1999,  de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD) es directamente aplicable a las RFID y con ello cada uno de los principios, derechos y obligaciones que regula.

Por ello tanto los productores o desarrolladores de este tipo de productos, como las organizaciones que los utilicen, sin perjuicio de la plena aplicación del conjunto de la LOPD, deben tener muy en cuenta que:

1.- Son de plena aplicación los principios del artículo 4 LOPD y por tanto debe realizarse un juicio previo sobre la necesidad de utilizar la tecnología RFID, definir claramente las finalidades y usos de las mismas que además deberán ser proporcionales a las finalidades perseguidas. Además, deberán adoptarse previsiones en relación con la cancelación posterior de los datos personales recopilados cuando no resulten necesarios.

2.- Los afectados, -como clientes, trabajadores y en general cualquier persona cuya información se indexe mediante el uso directo o indirecto de estas etiquetas-, deberán ser informados de la existencia del tratamiento en los términos del artículo 5 LOPD.

3.- Debe analizarse previamente en qué casos podrán utilizarse las etiquetas con consentimiento y en cuales éste no resulta necesario. El consentimiento debe ser previo, libre, específico e informado.

4.- Debe garantizarse la seguridad de todos y cada uno de los recursos personales, organizativos y técnicos, hardware y software, relacionados con los tratamientos de datos personales vinculados a las RFID.

En éste sentido, debe señalarse que la implantación de este tipo de tecnologías en territorio español debe respetar escrupulosamente las previsiones del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la ya reiterada Ley Orgánica 15/1999. 

Las medidas de seguridad serán particularmente relevantes en aquellos casos en los que la naturaleza de los datos exija aplicar un nivel alto, y cuando debido a la interoperabilidad de este tipo de productos la información pudiera ser leída por organizaciones ajenas a la del responsable de los tratamientos, debiéndose evitar a toda costa accesos no autorizados.

En particular pueden deducirse de esta normativa ciertos parámetros de diseño y seguridad a tener siempre en cuenta, entre otros:

-Se debe informar al consumidor o usuario del momento en que un producto o tecnología incluye etiquetas RFID.

-Debe poder incluirse la opción de mantener informado al usuario de modo automático, mediante pantallas o leds que muestren el estado de activación de la etiqueta.

-No se pueden incluir en etiquetas RFID datos de naturaleza sensible, como por ejemplo, datos relativos a ideología política, religión, o datos de salud, salvo que se trate de una finalidad lícita y legítima y se hayan adoptado medidas de seguridad.

-Se debe posibilitar la desactivación individual, y a requerimiento del usuario, de la etiqueta.

Cuarta.- Legitimación y limitaciones constitucionales para el establecimiento de las tecnologías RFID en los controles horarios de los empleados públicos.

La cuestión principal que se trata y origina la queja del interesado es su denuncia por cuanto considera que se encuentra en una situación de discriminación mantenida durante años, sin más justificación que castigar la defensa de la intimidad, cuya pérdida se establecía con la implantación de un nuevo sistema de control de horarios y jornadas (ejercicio 2009) basado en tecnología de radiofrecuencia.

La utilización de medios de control del cumplimiento del horario en el trabajo es una facultad que le corresponde al empresario, ya sea éste un particular o una administración pública, derivado del poder de dirección que le está atribuido, cuya finalidad es verificar el cumplimiento por parte del trabajador de una de las obligaciones que derivan de la relación jurídica que le vincula a la empresa y en su condición de trabajador.

En este sentido, al IECA como cualquier otro Centro Directivo de laAdministración andaluza le es de aplicación la normativa sobre jornadas y horarios vigente, resultando  singularmente afectada tras la publicación y entrada en vigor del Decreto-Ley 1/2012, de 19 de  junio, de Medidas Fiscales, Administrativas, Laborales y en materia de Hacienda Pública para el reequilibrio económico-financiero de la Junta de Andalucía, que ha introducido significativas modificaciones en el  régimen de jornada laboral, permisos y vacaciones de los empleados públicos.

A este respecto, y siendo aconsejable la adopción de criterios generales de interpretación que garantizasen una aplicación homogénea de tales medidas, motivó la Instrucción 1/2012, de 5 de julio, de la Secretaría General  para la Administración Pública sobre la aplicación del citado Decreto-ley.Por su parte, el interesado considera que la imposición a los usuarios-empleados a utilizar exclusivamente tarjetas RFID, como única alternativa a la de fichar, en el control horario, obviando cualquier otra posibilidad de las existentes y factibles en el sistema e incluso siendo los más utilizados en el resto de centros de la Junta de Andalucía, o en cualquier caso dos opciones a un tiempo. Las tarjetas se trataban en el Negociado de Personal indexando biunívocamente su código  único universal con los datos de los empleados a través de un código de identificación. De la relación de los datos de los usuarios que se registran  no se ha informado a los afectados ni recabado su consentimiento para su uso.

El art. 10 de la Constitución Española establece que la dignidad de la persona, los derechos inviolables que le son inherentes, el libre desarrollo de la personalidad, el respeto a  la Ley y a los derechos de los demás son fundamento del orden político y de la paz social.

El art. 18 de la Constitución Española garantiza el derecho al honor,  a la intimidad personal y familiar y a la propia imagen, así como en el art. 8 del Convenio Europeo de Derechos Humanos.

La doctrina del Tribunal Constitucional viene sosteniendo “que el derecho a la intimidad, en cuanto derivación de la dignidad de la persona implica la existencia de un ámbito propio reservado frente a la acción y el conocimiento de los demás, es necesario según las pautas de nuestra cultura, para mantener una calidad mínima de la vida humana”.

Quinta.- Comunicación previa a los representantes de los trabajadores

El Estatuto Básico del Empleado Público de 2007 –EBEP-, reconoce a los empleados públicos el derecho “a  la negociación colectiva y a la participación en la determinación de las condiciones de trabajo” que se regula en los arts. 31 y ss., comenzando por los Principios generales que parte de la expresa y reiterada reafirmación del derecho:

“Los empleados públicos tienen derecho a la negociación colectiva, representación y participación  institucional para la determinación de sus condiciones de trabajo”

Por negociación colectiva, aclara el art. 31.2 EBEP, se entiende el derecho a negociar la determinación de condiciones de trabajo de los empleados de la Administración Pública, aunque supeditada a la Ley, pues su ejercicio deberá respetar en todo caso el contenido del EBEP y sus leyes de desarrollo (art. 31.5), en efecto, reitera el art. 33 EBEP que “la negociación colectiva de condiciones de trabajo de los funcionarios públicos que estará sujeta a los principios de legalidad, cobertura presupuestaria…”.

Junto con esos principios de legalidad y  cobertura presupuestaria, el art. 31. 1 EBEP señala que la negociación colectiva de condiciones de trabajo de los funcionarios públicos estará sujeta a los principios de obligatoriedad, buena fe negocial, publicidad y transparencia, que se reflejarán su régimen jurídico. Estos principios literalmente se predican exclusivamente de la negociación en el ámbito funcionarial aunque también están presentes en la negociación colectiva del personal laboral: La sujeción de los Convenios Colectivos a la Ley se exige en los arts. 3 y 85 ET, el de cobertura presupuestaria  se ha impuesto por reiterada jurisprudencia  y doctrina, el principio de obligatoriedad se confirma en el art. 82.3 ET, el principio de buena fe ya venía exigiéndose en el art. 89.1 ET, la publicidad de los convenios se garantiza con su publicación en los boletines oficiales, según el art. 90 ET. Sólo el principio de transparencia, cuyo significado real no se especifica en ningún precepto, no se exige en la legislación laboral, aunque bien podría ser una derivación del principio de buena fe.

En el caso que nos ocupa se plantea si es necesario el consentimiento en el ámbito laboral.

A este respecto es necesario realizar varias aclaraciones respecto al consentimiento en el ámbito laboral. Así, el consentimiento, elemento base en el tratamiento de los datos, entraña cierta complejidad, especialmente cuando nos referimos al ámbito laboral, dado que resulta de difícil cumplimiento que en ese ámbito concurran los requisitos legalmente previstos para considerar que se ha obtenido libremente el consentimiento. El artículo 3 h) de la LOPD lo define como “Toda manifestación de voluntad libre, inequívoca, específica e informada mediante la que el interesado consienta el tratamiento de datos personales que el conciernen”.

Del concepto de consentimiento se desprende la necesaria concurrencia para que el mismo pueda ser considerado conforme a derecho de los cuatro requisitos enumerados en dicho precepto. Un adecuado análisis del concepto exigirá poner de manifiesto cuál es la interpretación que ha de darse a estas cuatro notas características del consentimiento, tal y como la misma ha indicado en numerosas Resoluciones de la Agencia Española de Protección de Datos -AEPD-, siguiendo a tal efecto los criterios sentados en las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa en relación con la materia que nos ocupa. A la luz de dichas recomendaciones, el consentimiento habrá de ser:

a) Libre, lo que supone que el mismo deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil.

b) Específico, es decir referido a un determinado tratamiento o serie de tratamientos concretos y en el ámbito de las finalidades determinadas, explícitas y legítimas del responsable del tratamiento, tal y como impone el artículo 4.2 de la LOPD.

c) Informado, es decir que el afectado conozca con anterioridad al  tratamiento la existencia del mismo y las finalidades para las que el mismo se produce. Precisamente por ello el artículo 5.1 de la LOPD impone el deber de informar a los interesados de una serie de extremos que en el mismo se contienen.

d) Inequívoco, lo que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción  u omisión que implique la existencia del consentimiento.

La concurrencia de estos requisitos resulta de difícil cumplimiento en el ámbito laboral. En consecuencia, vista la dificultad que entraña obtener el consentimiento, la AEPD ha entendido que lo procedente es acudir a las normas que legitimen el tratamiento de los datos. Por tanto, en el ámbito laboral, el Ordenamiento Jurídico Español, regula en el Estatuto de los Trabajadores, aprobado por Real Decreto Legislativo de 24 de Octubre de 1995, los poderes de Dirección del empresario y es en ése articulado donde hallamos la oportuna legitimación.

El artículo 20.3 del Estatuto de los Trabajadores (ET) dispone que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

Por tanto, el tratamiento de los datos recogidos por la tarjeta RFID obliga a que se cumpla con el deber de informar a los afectados así como requerir su consentimiento, en los términos establecidos en el artículo 5.1. y 6.1, de la LOPD:

“ Artículo 5. Derecho de información en la recogida de datos.

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante

Artículo 6. Consentimiento del afectado.

1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.”

En conclusión, el Instituto de Estadística y Cartografía de Andalucía se haya legitimado para tratar los datos de los trabajadores, en el ámbito laboral, al amparo del artículo 20.3 del ET.

Ahora bien, esta legitimación no es absoluta, y dado que la instalación del sistema de control mediante la tarjeta RFID es una medida para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, procede la aplicación de toda la normativa y jurisprudencia recogida “ut supra”, es decir, sería necesario por parte del  Instituto de Estadística y Cartografía de Andalucía, garantizar el derecho de información en la recogida de datos: deber de informar a los afectados así como requerir su consentimiento, en los términos establecidos en el artículo 5.1. y 6.1, de la LOPD, con información específica a la representación de los trabajadores.

Con ello, se daría cumplimiento con el deber de informar previsto tanto en el artículo 10 de la Directiva 95/46/CE como en el artículo 5 de la LOPD.

A la vista de todo ello y de conformidad con el art. 29, aptdo. 1 de la Ley 9/1983, de 1 de diciembre, del Defensor del Pueblo Andaluz, se formula la siguiente

RESOLUCIÓN

RECORDATORIO de deberes legales de las disposiciones anteriormente reseñadas y que fundamentan esta resolución.

RECOMENDACIÓN: Que del sistema sobre el control de acceso y horario del personal, así como de las normas que lo regula, se de traslado -previamente- a los representantes legales de los empleados.

SUGERENCIA 1: Que se de cumplimiento a la legislación sectorial respecto a la implantación de tecnología RFID sobre personas, o se sustituya la misma por opciones de contacto u otras menos invasivas, considerando que el sistema CRNO puede recibir los datos de picada desde diversos sistemas: teclado de ordenador, teclado de terminal centralizado, tarjetas de chip de contacto, tarjetas de bandas magnéticas, etc.

En todo caso, los usuarios de tarjetas RIFD deben saber sobre las posibilidades de uso sobre sus datos por parte de los propietarios de sistemas de RIFD, así como los límites y prohibiciones establecidos a este respecto.

SUGERENCIA 2:  Que se aprueben y se de publicidad en debida forma –con traslado a todo el personal e inserción en la web oficial-, de las normas sobre el control de acceso y horario del personal que presta servicios en el Instituto, posibilitando a los empleados la libertad de elección entre las opciones que dispone  el sistema “CRNO”.

SUGERENCIA 3: Que los sistemas de control de acceso al Centro de trabajo, se ubiquen en la zona más cercana a las entradas habilitadas al mismo, sea cual sea el sistema de control que se establezca.

José Chamizo de la Rubia<br/> Defensor del Pueblo Andaluz en funciones